Мобильные вирусы: этапы развития и становления
Эта статья будет интересна в первую очередь владельцам мобильных телефонов, которые работают под управлением OS Symbian. Но, думаю, не за горами время, когда проблема мобильных вирусов коснется всех пользователей мобильников.
Первенец: безобидный червячок
Первый вирус для мобильного телефона был обнаружен в июне 2004 года. О нем сообщила "Лаборатория Касперского", и он носил имя Cabir. Распространялся он по сотовым сетям и заражал мобильные телефоны под управлением операционной системы Symbian OS. По сообщениям все той же "Лаборатории Касперского", на 14 июня 2004 г. после появления вируса реальных инцидентов зарегистрировано не было. Тогда же появилась и предположительная информация о разработчике. Псевдоним этого злодея — Vallez, а состоит он в международной группировке вирусописателей 29A. Специализируется данная "компания" на создании концептуальных вредоносных программ. К "заслугам" этих граждан относят: Cap — первый макровирус, вызвавший глобальную эпидемию, Stream — первый вирус для дополнительных потоков NTFS, Donut — первый вирус для платформы .NET, Rugrat — первый вирус для платформы Win64. Заключение "Лаборатории Касперского" после предварительного изучения вируса было следующим: Cabir доставляется на телефон в виде файла формата SIS (дистрибутив ОС Symbian), маскируясь под утилиту для защиты телефона Caribe Security Manager. При запуске зараженного файла червь выводит на экран надпись "Caribe", внедряется в систему и активизируется при каждой загрузке телефона. После этого Cabir сканирует доступные устройства, использующие технологию передачи данных Bluetooth, выбирает первый из них и пересылает ему свою копию. На данный момент (14.06.2004) каких-либо деструктивных функций в Cabir не обнаружено. Большинство мировых экспертов, а также специалисты компаний — разработчиков антивирусных продуктов и операционной системы Symbian пришли к выводу, что вирус не несет в себе большой опасности. Помимо того, что Cabir не осуществляет никаких деструктивных действий, его слабым местом является то, что для его распространения пользователи мобильных телефонов с Symbian OS должны собственноручно одобрить установку вируса на свою систему. Матиас Импиваара — представитель финской компании F-Secure, специализирующейся на компьютерной безопасности, — сказал тогда следующее: "Подобные вирусы станут действительно опасными только тогда, когда смогут распространяться без помощи пользователей. Поворотной точкой станет момент, когда создатели вирусов будут достаточно хорошо знать систему для того, чтобы находить в ней дыры. Информация о Symbian OS вполне доступна для создателей вирусов, появление вируса Cabir может привести к тому, что они просто раньше обратят свое внимание на новые возможности". А представители компании Sym-bian заявили следующее: "В отличие от персональных компьютеров, в операционную систему мобильных телефонов нельзя проникнуть без согласия пользователя. Однако нельзя утверждать, что так будет всегда. Смартфоны создавались как открытые программируемые сетевые устройства". Наиболее оптимистичной оказалась компания Nokia — ее заявление звучало так: "Cabir разрабатывался исключительно с целью поднятия шумихи в прессе, поскольку никаких деструктивных функций вирус не несет". Несмотря на все эти заявления, австралийская компания TSG Pacific выпустила антивирус для коммуникаторов Nokia, Motorola и Sony на базе операционных систем Symbian OS. После запуска антивирус проверяет наличие вируса Cabir в памяти аппарата и в случае присутствия такового производит его удаление.
Злой первенец: троян
Ноябрь 2004 года ознаменовался еще одним антимобильным явлением. Троян Skulls был замечен на ряде сайтов в Интернете, предлагающих мультимедийное ПО для смартфонов. Замаскировался он под утилиту расширенного управления интерфейсными темами (Extended Theme Manager), а в качестве разработчика деструктивного приложения указывается фирма Tee-222. После запуска Skulls заменяет иконки системных программ изображениями черепов и делает невозможным дальнейшее использование всех основных функций смартфона. Самый простой способ избежать заражения — быть внимательным при загрузке ПО из Интернета. Если троян все же был проинсталлирован, то ни в коем случае нельзя перезагружать телефон, а быстро "бежать" на сайт компании F-Secure и качать антивирус. Skulls не получил особого распространения, так как самостоятельно распространяться не может.
Год 2005, январь…
13 января 2005 года на сайте "Лаборатории Касперского" появляется сообщение под названием: "Cabir.a вырвался на свободу: в России зарегистрирован первый случай заражения мобильного телефона". В сообщении говорилось, что Россия стала девятым государством, на территории которого зафиксировано заражение Cabir.a в реальных условиях (in the wild). К тому времени проникновение Cabir на мобильные телефоны уже было зарегистрировано в Филиппинах, Сингапуре, Арабских Эмиратах, Китае, Индии, Финляндии, Турции и Вьетнаме. Первым российским подопытным для сетевого червя был телефон Nokia 7610. "Лаборатория Касперского" дала следующее заключение: "Анализ содержащейся в мобильном телефоне информации показал, что вредоносный код полностью идентичен оригинальному варианту Cabir, обнаруженному в июне 2004 года. Это дает основания для неутешительного вывода: считавшийся ранее концептуальным сетевой червь уверенно распространяется по всему миру, инфицируя мобильные телефоны под управлением операционной системы Sym-bian OS". Подробное описание этого вируса можно прочитать тут: http://www.viruslist.com/, а скачать программу для удаления Cabir.a можно с wap-сайта wap.kaspersky.com/downloads/decabir.sis.
Буквально через пару дней компания F-Secure сообщила о появлении вируса Lasco.A, в основе которого лежит программный код версии вируса Cabir. Как и его предшественник, вирус Lasco.A избирательно поражает смартфоны на базе платформы Symbian Series 60. Lasco.A представляет собой вредоносный программный код смешанного (червь-вирус) действия и распространяется с помощью Bluetooth со смартфона на смартфон, если жертва находится в режиме обнаружения (discoverable mode). Для инсталляции Lasco.A, поступающего на телефон в виде приложения к сообщению в папке Входящие (Inbox), необходимо согласие пользователя. Сразу после инсталляции Lasco.A предпринимает попытку отправить собственный инсталляционный пакет в виде *.SIS-файла (velasco.sis) на находящееся в пределах доступности Blue-tooth-устройство. Кроме того, новый вирус вставляет свой код в инсталляционные *.SIS пакеты приложений, которые записаны у вас в смартфоне. Если вышло так, что смартфон оказался инфицированным Lasco.А, то инсталлировать антивирусное ПО через Bluetooth уже не получится. Для удаления вируса нужно будет загрузить специальную программу через Интернет с сайта F-Secure.
25 января компания SimWorks International обнаруживает новую вредоносную программу Gavno (простите, конечно, но она так и называется), инфицирующую портативные устройства под управлением все той же ОС Symbian. Этот троян полностью блокирует функции коммуникатора, отвечающие за прием и передачу голосовых вызовов в сети. Распространяется он под видом заплатки patch.sis. После запуска эта программа рассылает свои копии на все устройства, доступные через беспроводную связь Bluetooth, и затем блокирует "заболевший" аппарат. Компания SimWorks зафиксировала также появление модификации трояна, содержащей в своем составе коды двух других вредоносных программ — Cabir и Camtimer. По своим характеристикам Gavno.b практически похож на оригинальную версию, а распространяется под видом патча с именем patch_v2.sis. Этот троян способен заражать только коммуникаторы на базе платформы Series 60, которые работают под управлением ОС Symbian 7.0. Фирма SimWorks выпустила новые версии антивирусного программного обеспечения для платформ Series 60 и UIQ.
Что ж, в этой небольшой статье я немного рассказал о появившихся мобильных вирусах, но, думаю, тема эта только открывается. И не перестану напоминать: ваша безопасность только в ваших руках.
Павел Кучинский, Pawelk_kg@tut.by
Первенец: безобидный червячок
Первый вирус для мобильного телефона был обнаружен в июне 2004 года. О нем сообщила "Лаборатория Касперского", и он носил имя Cabir. Распространялся он по сотовым сетям и заражал мобильные телефоны под управлением операционной системы Symbian OS. По сообщениям все той же "Лаборатории Касперского", на 14 июня 2004 г. после появления вируса реальных инцидентов зарегистрировано не было. Тогда же появилась и предположительная информация о разработчике. Псевдоним этого злодея — Vallez, а состоит он в международной группировке вирусописателей 29A. Специализируется данная "компания" на создании концептуальных вредоносных программ. К "заслугам" этих граждан относят: Cap — первый макровирус, вызвавший глобальную эпидемию, Stream — первый вирус для дополнительных потоков NTFS, Donut — первый вирус для платформы .NET, Rugrat — первый вирус для платформы Win64. Заключение "Лаборатории Касперского" после предварительного изучения вируса было следующим: Cabir доставляется на телефон в виде файла формата SIS (дистрибутив ОС Symbian), маскируясь под утилиту для защиты телефона Caribe Security Manager. При запуске зараженного файла червь выводит на экран надпись "Caribe", внедряется в систему и активизируется при каждой загрузке телефона. После этого Cabir сканирует доступные устройства, использующие технологию передачи данных Bluetooth, выбирает первый из них и пересылает ему свою копию. На данный момент (14.06.2004) каких-либо деструктивных функций в Cabir не обнаружено. Большинство мировых экспертов, а также специалисты компаний — разработчиков антивирусных продуктов и операционной системы Symbian пришли к выводу, что вирус не несет в себе большой опасности. Помимо того, что Cabir не осуществляет никаких деструктивных действий, его слабым местом является то, что для его распространения пользователи мобильных телефонов с Symbian OS должны собственноручно одобрить установку вируса на свою систему. Матиас Импиваара — представитель финской компании F-Secure, специализирующейся на компьютерной безопасности, — сказал тогда следующее: "Подобные вирусы станут действительно опасными только тогда, когда смогут распространяться без помощи пользователей. Поворотной точкой станет момент, когда создатели вирусов будут достаточно хорошо знать систему для того, чтобы находить в ней дыры. Информация о Symbian OS вполне доступна для создателей вирусов, появление вируса Cabir может привести к тому, что они просто раньше обратят свое внимание на новые возможности". А представители компании Sym-bian заявили следующее: "В отличие от персональных компьютеров, в операционную систему мобильных телефонов нельзя проникнуть без согласия пользователя. Однако нельзя утверждать, что так будет всегда. Смартфоны создавались как открытые программируемые сетевые устройства". Наиболее оптимистичной оказалась компания Nokia — ее заявление звучало так: "Cabir разрабатывался исключительно с целью поднятия шумихи в прессе, поскольку никаких деструктивных функций вирус не несет". Несмотря на все эти заявления, австралийская компания TSG Pacific выпустила антивирус для коммуникаторов Nokia, Motorola и Sony на базе операционных систем Symbian OS. После запуска антивирус проверяет наличие вируса Cabir в памяти аппарата и в случае присутствия такового производит его удаление.
Злой первенец: троян
Ноябрь 2004 года ознаменовался еще одним антимобильным явлением. Троян Skulls был замечен на ряде сайтов в Интернете, предлагающих мультимедийное ПО для смартфонов. Замаскировался он под утилиту расширенного управления интерфейсными темами (Extended Theme Manager), а в качестве разработчика деструктивного приложения указывается фирма Tee-222. После запуска Skulls заменяет иконки системных программ изображениями черепов и делает невозможным дальнейшее использование всех основных функций смартфона. Самый простой способ избежать заражения — быть внимательным при загрузке ПО из Интернета. Если троян все же был проинсталлирован, то ни в коем случае нельзя перезагружать телефон, а быстро "бежать" на сайт компании F-Secure и качать антивирус. Skulls не получил особого распространения, так как самостоятельно распространяться не может.
Год 2005, январь…
13 января 2005 года на сайте "Лаборатории Касперского" появляется сообщение под названием: "Cabir.a вырвался на свободу: в России зарегистрирован первый случай заражения мобильного телефона". В сообщении говорилось, что Россия стала девятым государством, на территории которого зафиксировано заражение Cabir.a в реальных условиях (in the wild). К тому времени проникновение Cabir на мобильные телефоны уже было зарегистрировано в Филиппинах, Сингапуре, Арабских Эмиратах, Китае, Индии, Финляндии, Турции и Вьетнаме. Первым российским подопытным для сетевого червя был телефон Nokia 7610. "Лаборатория Касперского" дала следующее заключение: "Анализ содержащейся в мобильном телефоне информации показал, что вредоносный код полностью идентичен оригинальному варианту Cabir, обнаруженному в июне 2004 года. Это дает основания для неутешительного вывода: считавшийся ранее концептуальным сетевой червь уверенно распространяется по всему миру, инфицируя мобильные телефоны под управлением операционной системы Sym-bian OS". Подробное описание этого вируса можно прочитать тут: http://www.viruslist.com/, а скачать программу для удаления Cabir.a можно с wap-сайта wap.kaspersky.com/downloads/decabir.sis.
Буквально через пару дней компания F-Secure сообщила о появлении вируса Lasco.A, в основе которого лежит программный код версии вируса Cabir. Как и его предшественник, вирус Lasco.A избирательно поражает смартфоны на базе платформы Symbian Series 60. Lasco.A представляет собой вредоносный программный код смешанного (червь-вирус) действия и распространяется с помощью Bluetooth со смартфона на смартфон, если жертва находится в режиме обнаружения (discoverable mode). Для инсталляции Lasco.A, поступающего на телефон в виде приложения к сообщению в папке Входящие (Inbox), необходимо согласие пользователя. Сразу после инсталляции Lasco.A предпринимает попытку отправить собственный инсталляционный пакет в виде *.SIS-файла (velasco.sis) на находящееся в пределах доступности Blue-tooth-устройство. Кроме того, новый вирус вставляет свой код в инсталляционные *.SIS пакеты приложений, которые записаны у вас в смартфоне. Если вышло так, что смартфон оказался инфицированным Lasco.А, то инсталлировать антивирусное ПО через Bluetooth уже не получится. Для удаления вируса нужно будет загрузить специальную программу через Интернет с сайта F-Secure.
25 января компания SimWorks International обнаруживает новую вредоносную программу Gavno (простите, конечно, но она так и называется), инфицирующую портативные устройства под управлением все той же ОС Symbian. Этот троян полностью блокирует функции коммуникатора, отвечающие за прием и передачу голосовых вызовов в сети. Распространяется он под видом заплатки patch.sis. После запуска эта программа рассылает свои копии на все устройства, доступные через беспроводную связь Bluetooth, и затем блокирует "заболевший" аппарат. Компания SimWorks зафиксировала также появление модификации трояна, содержащей в своем составе коды двух других вредоносных программ — Cabir и Camtimer. По своим характеристикам Gavno.b практически похож на оригинальную версию, а распространяется под видом патча с именем patch_v2.sis. Этот троян способен заражать только коммуникаторы на базе платформы Series 60, которые работают под управлением ОС Symbian 7.0. Фирма SimWorks выпустила новые версии антивирусного программного обеспечения для платформ Series 60 и UIQ.
Что ж, в этой небольшой статье я немного рассказал о появившихся мобильных вирусах, но, думаю, тема эта только открывается. И не перестану напоминать: ваша безопасность только в ваших руках.
Павел Кучинский, Pawelk_kg@tut.by
Компьютерная газета. Статья была опубликована в номере 05 за 2005 год в рубрике безопасность :: разное